web-dev-qa-db-ja.com

BeEF-侵害の指標(IOC)とは

フィッシングメールにBeEF(または他のフレームワーク)をホストしているWebサイトへのリンクが含まれている場合、そのような攻撃に対する侵害の指標は何でしょうか。

さらに、システムが侵害された場合、それを軽減するための最良の戦略は何でしょうか。

2
pzirkind

まず、ビーフとは何か、ビーフが何に使用されているのかを十分に理解していただきたいと思います。ビーフは、ブラウザでの侵入シナリオで悪用を実行するためのツールです。その要点は、ユーザーのブラウザがビーフフックスクリプトを(xss経由で、またはシナリオではフィッシングサイトで)実行し、スクリプトがBeefサーバーを呼び出し、サーバーが任意のJavaScriptコマンドをプッシュダウンできることです。ブラウザに。その結果、攻撃者はユーザーのブラウザウィンドウを制御し、ユーザーが実行できるほとんどすべての操作を実行できるようになります。牛肉は特定の攻撃ではなく、他の攻撃を実行する手段です。

IoCは、攻撃者がそれをどう処理したかに依存します。最低限、JavaScriptのアーティファクトが見つかる可能性が高く、パケットキャプチャによってはBeefサーバーへの呼び出しが見つかる可能性があります。攻撃者がビーフを使用してマルウェアをインストールした場合、その特定のマルウェアのIoCが存在します。

アクティブなBeefセッションの緩和は簡単です。ブラウザを閉じるだけです。攻撃者がビーフを使用してマルウェアをインストールした場合、そのマルウェアに固有の緩和策が必要になります。

2
Dan Landberg